Tic-tac, tic-tac… les journées filent et l’échéance du 25 Mai est déjà passée ! Même s’il ne s’agissait pas d’une date couperet, c’est bien à ce jour que le nouveau règlement européen pour la protection des données est entré en application, et qu’il était attendu que tous les organismes concernés soient en conformité avec la loi, ou aient au moins pris des initiatives pour s’en rapprocher.
Pourtant, même encore aujourd’hui, nombreuses sont les entreprises et les administrations qui ne savent absolument pas par où ou par quoi débuter leur mise en conformité.
SI vous en faites partie, voici quelques pistes qui devraient vous éclairer… et vous rassurer !
Désigner un pilote
Pour les collectivités, les entreprises de plus de 250 salariés et celles dont l’activité principale, celle qui lui permet de réaliser ses objectifs, se base sur le traitement de données, la nomination d’un DPO est obligatoire.
Le DPO est idéalement un juriste-technicien-manager, autant vous dire, le mouton à 5 pattes qu’on ne trouve pas à tous les coins de rues et encore moins au sein même de votre organisation.
Cependant, la logique voudrait que les actuels CIL prennent cette fonction. D’autres profils peuvent également prétendre à devenir DPO, à partir du moment où cette nouvelle fonction ne présente pas de conflit d’intérêt avec leur poste actuel.
Vous avez également la possibilité de faire appel à un DPO externe, qui peut, soit intégrer votre organisation à temps plein, soit être mutualisé et donc n’intervenir chez vous qu’à temps partiel.
Si le profil du DPO reste encore flou, ses missions sont bien déterminées :
- Accompagner, guider dans le processus de mise en conformité et ses bonnes pratiques
- Auditer et contrôler, valider la conformité
- Sensibiliser les équipes
- Valider la recevabilité des demandes de communication/rectification/suppression de données
- Point de contact avec la CNIL
À présent, je m’adresse à vous qui n’avez pas l’obligation légale de nommer un DPO. Vous n’êtes pas dispensé de RGPD, vous devez vous aussi, vous le verrez, cartographier vos traitements, tenir à jour un registre, mener des études d’impact… Vous êtes donc invité à désigner un pilote, un chef d’orchestre qui saura guider le reste des équipes dans la mise en place de nouveaux processus.
>> Pour vous aider – Le dico du RGPD
Cartographier vos traitements
C’est l’étape qui demande l’investissement le plus important en termes de temps et de participation.
Pour commencer, il est nécessaire de savoir ce qu’est un traitement : tout document numérique ou papier, fichier, application, base, qui contient des données personnelles, ayant fait l’objet d’une collecte, d’un enregistrement, d’une organisation, d’une conservation, etc, etc.
Et que sont les données personnelles me direz-vous ? Il s’agit tout simplement d’informations concernant une personne physique, identifiée ou identifiable.
En bref, l’ensemble de ces éléments être listé dans un inventaire, communément appelé « cartographie des traitements ». Cet inventaire permet d’identifier pour chaque traitement :
- Sa dénomination
- Son responsable (la personne qui en est à l’origine et qui en a une utilisation régulière)
- Le type de données qu’il contient
- La durée de conservation des données
- Son niveau d’impact sur la vie privée
La cartographie doit être un travail d’équipe, réalisée de concert entre les responsables de traitements.
>> Sur le même thème – RGPD : la conduite du changement
Tenir le registre
Ce n’est qu’une fois la cartographie des traitements dressée que le registre peut être tenu à jour.
Le registre permet de suivre la vie d’un traitement : dès lors qu’une action / activité est effectuée sur un traitement (extraction, diffusion, emailing par exemple), elle doit être renseignée dans le registre par son responsable.
En effet, toute activité peut avoir des répercussions sur la criticité d’un traitement et donc son niveau d’impact sur la vie privée des personnes concernées par les données qu’il contient. Il est donc important (obligatoire) de toutes ces activités et d’agir en conséquence si elles comportent un risque avéré.
Dans le registre, vous devez renseigner à minima :
- Le traitement concerné
- La date de l’activité
- La nature de l’activité
- Sa finalité
L’étude d’impact sur la vie privée (EIVP)
Ou plus couramment en Anglais, PIA (Privacy Impact Assessment). L’étude d’impact intervient pour un traitement pour le simple fait d’exister, s’il présente un risque élevé pour la préservation de l’intégrité de la vie privée des personnes qu’il concerne.
Le PIA doit aussi être réalisé en cas de faille de sécurité ou de fuite de données, en plus d’une notification à la CNIL. Il ne s’agit en aucun cas de la tâche d’un seul homme. L’étude d’impact nécessite des connaissances dans divers domaines, et doit donc être le résultat d’un travail d’équipe.
Vous l’aurez compris, le RGPD consiste à repenser en profondeur pourquoi et comment nous collectons et traitons les données personnelles. Si sa mise en œuvre est souvent perçue comme un travail herculéen, il doit être considéré comme une chance de favoriser une relation de transparence et de confiance avec vos clients, vos prospects et vos salariés. Pour vous aider à structurer vos actions, vous pouvez vous équiper de solutions logicielles, comme par exemple GoRGPD ! qui compile tous des outils nécessaires pour couvrir l’ensemble de la réglementation européenne.
Anne, Responsable Marketing chez Apsynet